Últimos Cambios
	Blog personal: El hilo del laberinto

Redes Privadas Virtuales

Última Actualización: 19 de Octubre de 1.999 - Martes

En obras. Si tienes alguna sugerencia o añadido (se agradecen :-), házmelo saber.

Una Red Virtual Privada (VPN - Virtual Private Network) es aquella red privada construida sobre una red pública. Las razones que empujan el mercado en ese sentido son, fundamentalmente de costes: resulta mucho más barato interconectar delegaciones utilizando una infraestructura pública que desplegar una red físicamente privada. En el otro extremo, por supuesto, es necesario exigir ciertos criterios de privacidad y seguridad, por lo que normalmente debemos recurrir al uso de la criptografía.

En general existen dos tipos de redes privadas virtuales:

• Enlaces Cliente-Red:

  En estos enlaces se encapsula, típicamente, PPP (Point-to-Point Protocol). Las tramas del cliente se encapsulan en PPP, y el PPP resultante se encapsula para crear el VPN. Se emplean, entre otras muchas cosas, para:

  • Acceso seguro de un cliente a la red.
  • Clientes móviles (para independizarlos de la topología física).
  • Puntos de acceso remoto. Por ejemplo, un "pool" de módems en otra ciudad, o clientes nuestros entrando por otro ISP.
  • Rutado de tramas no utilizables en Internet. Por ejemplo, tramas NetBEUI, IPX, SNA o DECNET.

• Enlaces Red-Red:

  En estos casos se está encapsulando el tráfico de una red local, por lo que nos ahorramos el paso PPP anterior. Las tramas de la LAN se encapsulan directamente para crear el VPN. Se utiliza para:

  • Fundir dos redes locales a través de Internet, para que parezcan una sola.
  • Establecer canales con privacidad, autenticidad y control de integridad, entre dos redes independientes.
  • Rutado de tramas no utilizables en Internet. Por ejemplo, tramas NetBEUI, IPX, SNA o DECNET.

PPTP (Point-to-Point Tunneling Protocol)

Encapsulado de tramas PPP en datagramas IP, utilizando una versión extendida del GRE (Generic Routing Encapsulation, protocolo IP 47). La conexión de control se realiza sobre TCP, puerto 1723.

Actualmente este protocolo, aunque muy popular en el mundo Microsoft, está siendo sustituido por el L2TP. La implementación de Microsoft, además, sufre de varios importantísimos errores de diseño que hacen que su protección criptográfica sea inefectiva para alguien más motivado que un simple observador casual. No debería ser utilizada, por tanto.

• Point-to-Point Tunneling Protocol--PPTP (RFC 2631)

• RFC 1702: Generic Routing Encapsulation over IPv4 networks
  GRE es el protocolo IP 47.

• Microsoft PPP CHAP Extensions

• Microsoft Point-To-Point Encryption (MPPE) Protocol (borrador IETF - May/99)

• Secure Remote Access via the Internet
  Página PPTP oficial de Microsoft.

• Is PPTP Secure?
  Editorial de Russ Copper, editor de la lista de correo NTBUGTRAQ.

• Counterpane Systems Announces Crack of Microsoft's Point-to-Point Tunneling Protocol
  La prueba definitiva de que la implementación PPTP realizada por Microsoft no es segura, y no debería ser utilizada para proteger nada considerado mínimamente confidencial.

  En verano de 1.999 Counterpane analizó la revisión del protocolo PPTP que había realizado Microsoft (PPTPv2). Esta revisión soluciona muchos de los problemas de la implementación anterior, pero abre nuevas vías de ataque y adolece de falta de claridad en cuando a los criterios empleados a la hora de diseñar el protocolo.

• Counterpane PPTP paper NTBUGTRAQ
  Resumen de las vulnerabilidades descritas en el documento de CounterPane, sobre la implementación PPTP de Microsoft.

• PPTP (again)
  Mensaje publicado en la NTBUGTRAQ, informando de posibles vulnerabilidades en la implementación PPTP de Microsoft. Fue uno de los textos que destapó el problema.

• PPTP: The never ending story
  Artículo publicado en la lista NTBUGTRAQ. Describe un nuevo tipo de ataque contra la implementación PPTP de Microsoft.

• Schneier denuncia fallos en la implementación Microsoft del protocolo PPTP: las Redes Privadas Virtuales (VPN), en peligro
  Artículo publicado en Kriptópolis, el dos de Junio de 1.998.

• Phrack
  En el número 53 de la revista electrónica "Phrack" (08/Jul/98) se publicó un interesante artículo sobre las vulnerabilidades en la implementación PPTP de Microsoft. Se describen los puntos señalados en el documento de Counterpane, así como un ataque nuevo.

• PPTP Security - An Update
  La respuesta oficial de Microsoft.

• PPTP-linux: a PPTP client for Linux

L2TP (Layer 2 Tunnelling Protocol)

Encapsulado de tramas PPP sobre cualquier medio, no necesariamente redes IP. En el caso IP se usa UDP, puerto 1701. Tras un largo proceso como borrador, L2TP pasa a ser una propuesta de estándar en Agosto de 1.999.

• Layer Two Tunneling Protocol "L2TP" (RFC 2661)
  Además del protocolo, se define también en encapsulado sobre IP, entre otros.

• L2TP Dynamic Data Window Adjustment (borrador IETF - Nov/98)
  Una extensión al control de flujo original.

• Securing L2TP using IPSEC (borrador IETF - 02/Feb/99)

• Layer Two Tunneling Protocol "L2TP" Security Extensions for Non-IP networks (borrador IETF a 11/Ago/98)
  Bajo IP, la seguridad típica se establece en el marco IPSec. En este documento se establecen marcos de seguridad para sistemas no IP.

• Layer Two Tunneling Protocol "L2TP" Multi-Protocol Label Switching Extension (borrador IETF - Feb/99)
  Mejora del rendimiento en las decisiones de encaminamiento en el LAC y LNS.

• Layer Two Tunneling Protocol "L2TP" IP Differential Services Extension (borrador IETF - Feb/98)
  Extensiones para definir "calidad de servicio" en los túneles L2TP.

• L2TP Alternate Data Channel (``L2TPADC'') (borrador IETF a 11/Ago/98)

• L2TP-over-IP Path MTU Discovery (''L2TPMTU'') (borrador IETF a 11/Ago/98)

• Layer Two Tunneling Protocol (L2TP) over Frame Relay (borrador IETF - Dic/98)

• L2TP Over AAL5 and FUNI (borrador IETF - Abr/99)
  Redes ATM.

• Layer Two Tunneling Protocol "L2TP" Management Information Base (borrador IETF - Nov/98)

L2F (Layer 2 Forwarding)

Este sistema es el precursor del L2TP, y es utilizado en los routers CISCO, pero los trabajos en el L2TP lo han dejado obsoleto. Resulta útil, no obstante, si tenemos routers Cisco a nuestra disposición. Como L2TP, encapsula tramas PPP sobre medios arbitrarios.

• RFC 2341: Cisco Layer Two Forwarding (Protocol) "L2F"
  

• Layer Two Forwarding

IPSec

IPSec es el nuevo marco de seguridad IP, definido con el advenimiento del IPv6. Aunque IPv6 está muy poco difundido en este momento, la tecnología marco IPSec se está utilizando ya, lo que asegura, entre otras cosas, la interoperatividad de los sistemas de diversos fabricantes. Al menos en teoría. IPSec integra confidencialidad, integridad y autentificación en un mismo marco interoperante.

En general, cualquier VPN de nueva creación debería utilizar tecnología IPSec.

• IP Security Protocol (ipsec)
  Página del grupo de trabajo IPSec-IETF. Desde ella se puede acceder a numerosa información, incluyendo RFCs y borradores IETF.

• RFC 1825: Security Architecture for the Internet Protocol

• RFC 1826: IP Authentication Header

• RFC 1827: IP Encapsulating Security Payload (ESP)

• S/WAN on-line interoperatibility test
  En este web se pueden encontrar resultados de interoperatividad cruzada entre productos IPSec.

• NIST Cerberus, An IPsec Reference Implementation for Linux
  Desgraciadamente solo para EE.UU. y Canadá, debido a las restricciones de exportación criptográfica.

• SKIP - Simple Key management for Internet Protocols -- IP-Level Cryptography
  Muy interesante implementación IPSec, original de SUN Microsystems. Frente a otros esquemas, no implica una pérdida de rendimiento en la conexión inicial, y la distribución y gestión de claves es sencilla. Se trata de un sistema que está siendo adoptado por la mayoría de los fabricantes. Aquí se pueden encontrar los fuentes e implementaciones para Solaris, SunOS, FreeBSD y Windows.

• Sun's SKIP Firewall Traversal for Mobile IP

• Enskip
  Versión SKIP con criptografía "fuerte", ya que la empresa está radicada en Suiza y no hay problemas con su exportación. Versiones para Linux y Solaris. Licencia GNU.

• FreeS/WAN Project
  Interesante proyecto de "cifrado oportunista" utilizando IPSec (Linux).

• The Linux FreeS/WAN Project
  IPSec, ISAKMP/Oakley y DNSSec.

• Photuris Test Server
  A partir de su versión 2.2, OpenBSD incorpora IPSec de serie. En el enlace indicado se puede obtener el código fuente.

• También existe un módulo IPSec para NetBSD.

IPIP (IP-in-IP)

IPIP define un encapsulado mínimo de los datagramas IP ya que, esencialmente, sólo se les añade una cabecera al principio. Este sistema es utilizado en redes "mobile-IP", para independizar las direcciones IP de la topología física de la red en un momento dado. No define ningún mecanismo de cifrado o autentificación.

Linux soporta IP-in-IP de forma nativa a partir de los Kernel 2.0.x y 2.1.x, usando los LKM (Loadable Kernel Module) "ipip.o" y "tunnel.o". Puede consultarse su documentación en "/usr/src/linux/drivers/net/README.tunnel".

• RFC 2003: IP Encapsulation within IP
  Encapsula datagramas IP dentro de otro datagrama IP, con protocolo asociado número 4.

• RFC 1853: IP in IP Tunneling
  Informe sobre el funcionamiento de un sistema precursor del IPIP.

• RFC 1241: A Scheme for an Internet Encapsulation Protocol: Version 1
  

Otras Soluciones

La mayoría de los cortafuegos y "routers" disponen de capacidades VPN. En muchos casos se trata de soluciones propietarias, aunque la mayoría han migrado -o lo están haciendo- a IPSec.

Otras posibilidades:

• Secure SHell (SSH)
  Protege conexiones TCP mediante criptografía (a nivel de OSI de presentación, no a nivel de transporte o inferiores). Se protege, por tanto, conexión a conexión.

• CIPE - Crypto IP Encapsulation
  Encapsula datagramas IP dentro de UDP. De momento sólo está disponible para Linux. Para el cifrado se usa IDEA y BlowFish. Se trata de un proyecto en curso, bastante interesante.

• RFC 1234: Tunneling IPX Traffic through IP Networks
  Encapsulado de datagramas IPX (Novell Netware) sobre UDP.

• RFC 2004: Minimal Encapsulation within IP
  En vez de encapsular un datagrama IP dentro de otro (IP-in-IP), modifica el datagrama original y le añade información para deshacer los cambios. El protocolo IP asociado es el 55.

• PROTOCOL STANDARD FOR A NetBIOS SERVICE ON A TCP/UDP TRANSPORT: CONCEPTS AND METHODS

• PROTOCOL STANDARD FOR A NetBIOS SERVICE ON A TCP/UDP TRANSPORT: DETAILED SPECIFICATIONS

Historia

• 19/Oct/99: Un año sin actualizar...

  Revisión de enlaces, y añadido el análisis del PPTPv2.
  L2TP ha pasado a la standard track. ¡¡Por fin!!.

• 23/Oct/98:

• 14/Ago/98: Añadidos SWAN (Linux), FreeS/WAN(Linux), IPSec para NetBSD y Photuris (OpenBSD).

• 12/Ago/98: Añadida la sección IPIP, IPSec y "Otras Soluciones".

• 11/Ago/98: Primera versión de este documento.

• Infovía Plus
• Artículos Redes y TCP/IP
• Artículos Criptografía y Privacidad
• Criptología
• Artículos
• La Página de Jesús Cea Avión

©1998 jcea@jcea.es

Más información sobre los OpenBadges

Donación BitCoin: 19niBN42ac2pqDQFx6GJZxry2JQSFvwAfS